AWS Global Accelerator interageert met beveiligingsgroepen voornamelijk via de Elastische Network Interfaces (ENI's) die het in uw VPC maakt voor IP -adresbeheer en verkeersroutering naar uw eindpunten. Hier is een gedetailleerde uitleg over hoe beveiligingsgroepen werken met Global Accelerator:
Elastische netwerkinterfaces en beveiligingsgroepen
- Global Accelerator creëert één elastische netwerkinterface per subnet waar u eindpunten hebt geregistreerd. Deze ENI's zijn logische interfaces die omgaan met verkeersroutering maar geen enkele host of knelpunten vertegenwoordigen; Ze maken deel uit van een horizontaal geschaalde, zeer beschikbare service [2] [5].
- Alle ENI's gemaakt door Global Accelerator binnen dezelfde VPC delen een enkele beveiligingsgroep die Global Accelerator automatisch voor die VPC maakt. Dit betekent dat ongeacht welk subnet een ENI is geassocieerd, het gebruikt dezelfde beveiligingsgroep [2].
- De beveiligingsgroep gemaakt door Global Accelerator regelt het verkeer dat naar de eindpunten achter het versneller kan stromen. U moet de regels van deze beveiligingsgroep niet wijzigen, omdat wijzigingen eindpunt gezondheidsproblemen kunnen veroorzaken. Als u de toegang moet aanpassen, wordt het aanbevolen om contact op te nemen met AWS -ondersteuning [2].
Beveiligingsgroepen met eindpunten gebruiken
- U kunt de Global Accelerator Security Group gebruiken als brondroep in uw eigen beveiligingsgroepen voor uw eindpunten (bijv. EC2 -instanties, netwerkbelastingsbalancers, Application Load Balancers). Hierdoor kunt u de toegang beperken, zodat alleen verkeer via de wereldwijde versneller is toegestaan, waardoor directe toegang tot de eindpunten van andere bronnen [2] [8] wordt geblokkeerd, effectief blokkeert.
- Als u bijvoorbeeld wilt dat uw applicatie Load Balancer (ALB) alleen verkeer accepteert van Global Accelerator, kunt u de Alb -beveiligingsgroep configureren om alleen inkomend verkeer uit de Global Accelerator Security Group toe te staan. Deze opstelling verbetert de beveiliging door ervoor te zorgen dat al het verkeer naar uw eindpunten wordt geleid via Global Accelerator [8].
IP -adresbeheer en beveiligingsgroepen
- Global Accelerator biedt statische ip -ip -adressen die aan uw versneller zijn gekoppeld. Deze IP's worden gevestigd door de ENI's in uw VPC -subnetten. De beveiligingsgroep die aan deze ENI's is gekoppeld, regelt het verkeer dat uw eindpunten bereikt [4] [9].
- Wanneer u Global Accelerator met eindpunten in privé -subnetten gebruikt, moet u een internetgateway hebben die aan de VPC is gekoppeld. De beveiligingsgroepen op uw eindpunten moeten worden geconfigureerd om inkomend verkeer van de Global Accelerator Security Group of de statische IP -adressen mogelijk te maken om een goede connectiviteit te garanderen [5].
Client IP -adres behoud en beveiligingsgroepen
- Voor bepaalde eindpunttypen (toepassingsbelastingsbalancers, netwerkbelastingsbalancers met beveiligingsgroepen en EC2 -instanties) kan Global Accelerator het oorspronkelijke IP -adres van de client behouden. Om dit te ondersteunen, worden de door Global Accelerator gecreëerde ENI's gebruikt en de beveiligingsgroepen moeten het verkeer dienovereenkomstig toestaan [5] [6].
- De beveiligingsgroepen op uw eindpunten zijn van toepassing op al het verkeer dat in uw instanties aankomt, inclusief verkeer doorgestuurd door Global Accelerator. Daarom moet u ervoor zorgen dat uw beveiligingsgroepen verkeer toestaan van de wereldwijde versneller ENIS of hun bijbehorende IP -bereiken [5].
Best practices
- Wijzig de beveiligingsgroep die is gemaakt door Global Accelerator niet handmatig wijzigen. Configureer in plaats daarvan uw eindpuntbeveiligingsgroepen om verkeer van de Global Accelerator Security Group als bron toe te staan.
- Gebruik privé -subnetten voor uw eindpunten als u het verkeer wilt beperken om alleen via Global Accelerator te komen, waardoor de beveiliging wordt verbeterd.
- Zorg ervoor dat uw VPC voldoende IP -adrescapaciteit heeft in de subnetten om tegemoet te komen aan de ENI's die Global Accelerator zal creëren.
- Als u de toegang tot uw eindpunten strikt wilt beperken via Global Accelerator, configureert u uw eindpuntbeveiligingsgroepen dienovereenkomstig door alleen de Global Accelerator Security Group toe te staan als een bron [2] [3] [8].
Samenvattend beheert Global Accelerator IP-adressen via elastische netwerkinterfaces in uw VPC, elk geassocieerd met een globale versneller-gecreëerde beveiligingsgroep per VPC. Deze beveiligingsgroep wordt gebruikt om de verkeersstroom naar uw eindpunten te regelen en u moet uw eindpuntbeveiligingsgroepen configureren om verkeer uit deze groep toe te staan om een veilige en betrouwbare routing van clientverzoeken via Global Accelerator te garanderen. Het wijzigen van de Global Accelerator Security Group wordt ontmoedigd om gezondheidsproblemen voor eindpunt te voorkomen. Gebruik het in plaats daarvan als een bron in uw eigen beveiligingsgroepen om de toegang tot alleen wereldwijd versnellersverkeer te beperken.
Citaten:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20user%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddttw8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/